Система и способ целевой установки сконфигурированного программного обеспечения
Иллюстрации
Показать всеИзобретение относится к области установки программного обеспечения в корпоративной вычислительной сети. Техническим результатом является повышение уровня безопасности установки программного обеспечения на устройство и для пользователя, под которых данное программное обеспечение было сконфигурировано, и достигается за счет авторизации пользователя и проверки соответствия устройств. Способ целевой установки сконфигурированного программного обеспечения содержит этапы, на которых: загружают из средства хранения атрибутов компьютерной сети атрибуты объектов, соответствующих учетной записи пользователя, и атрибуты объектов, соответствующих первому устройству, управляемому пользователем, на котором планируют произвести установку программного обеспечения; конфигурируют установочный пакет программного обеспечения, при этом параметры конфигурации определяют по загруженным атрибутам в соответствии с политикой безопасности, установленной для упомянутого пользователя и для первого устройства; загружают сконфигурированный установочный пакет программного обеспечения на второе устройство; устанавливают программное обеспечение на второе устройство, управляемое пользователем, при этом проверяют соответствие первого и второго устройства и продолжают установку, если соответствие установлено; проводят авторизацию пользователя, управляющего вторым устройством, и продолжают установку, если авторизация прошла успешно. 2 н. и 21 з.п. ф-лы, 5 ил.
Реферат
Область техники
Настоящее изобретение относится к средствам обеспечения безопасности корпоративной вычислительной сети и более конкретно к системам и способам целевой установки программного обеспечения на компьютерные устройства корпоративной вычислительной сети с предварительным конфигурированием программного обеспечения под различные устройства и под различных пользователей сети.
Уровень техники
При управлении безопасностью компьютерных сетей администраторы сети часто сталкиваются с трудностью настройки устанавливаемого защитного программного обеспечения (ПО). Решение данной проблемы становится особенно актуальным при развертывании ПО, например антивируса или систем контроля доступа, в крупных компаниях или локальных вычислительных сетях, где конфигурации устройств, подключенных к сети, сильно отличаются друг от друга. Другим фактором, усложняющим процесс установки новых программ, является разнообразие групп пользователей, имеющих различные права доступа к ресурсам корпоративной вычислительной сети (КВС). Распределенная инфраструктура КВС часто предполагает применение различных политик безопасности в зависимости от устройства, сегмента сети и пользователя. Учесть все описанные факторы при установке ПО на устройства сети невозможно с применением существующих технических решений.
С развитием вычислительной техники повышается сложность не только инфраструктур, но и средств безопасности, настроить которые рядовому пользователю не позволяет квалификация и политика компании, нацеленная на повышение уровня безопасности.
Для управления удаленными рабочими станциями (компьютерами пользователей) используются средства удаленного администрирования. Это позволяет настраивать средства безопасности после их установки на стационарных компьютерных системах или на корпоративных устройствах с установленным агентом администрирования. Но не на всех компьютерных системах могут быть установлены агенты администрирования. В современном мире наблюдается тенденция увеличения присутствия в корпоративных сетях персональных устройств, на которых не установлено средств администрирования. К таким устройствам относятся, например смартфоны, планшетные компьютеры (планшеты), ноутбуки, нетбуки и другие портативные устройства, которые пользователи используют для работы и в личных целях. В этом случае для безопасной работы в корпоративной вычислительной сети установку средств безопасности и последующую настройку этих средств необходимо произвести на стороне пользователя.
Из уровня техники известны технические решения, которые позволяют упростить процесс установки программного обеспечения в компьютерной сети. В патентной заявке US 2005/0160420 А1 описаны способ и система распространения и установки компьютерных программ, которые позволяют установить программу и настроить ее, используя данные о пользователе и системе. Заявленное изобретение отличается от известного решения тем, что производит конфигурацию установочных файлов до их загрузки на устройства пользователей и/или до запуска установки программы. В патенте US 7735063 описаны система и способ настройки приложения. Принцип работы системы основывается на составлении базы данных конфигураций программного обеспечения. Настройка приложения производится путем выбора необходимой конфигурации приложения из базы данных. В заявленном изобретении процесс установки и настройки установочного пакета отличается от известного решения тем, что позволяет установить сконфигурированную программу только на то устройство и для того пользователя, для которых данная программа была сконфигурирована.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых устраняются настоящим изобретением, а именно системой и способом целевой установки сконфигурированного программного обеспечения. Отличительные особенности и характерные признаки настоящего изобретения более подробно раскрываются в описании вариантов осуществления.
Сущность изобретения
Настоящее изобретение предназначено для целевой установки сконфигурированного программного обеспечения в корпоративной вычислительной сети.
Технический результат настоящего изобретения заключается в повышении уровня безопасности установки программного обеспечения на устройство и для пользователя, под которых данное программное обеспечение было сконфигурировано, и достигается за счет авторизации пользователя и проверки соответствия устройств.
Применение изобретения на практике позволяет произвести конфигурацию установочных пакетов программного обеспечения, включая настройку прав доступа к ресурсам устройства и корпоративной сети, и установку программного обеспечения на устройства сети в соответствии с упомянутыми правами доступа, исключая возможность несанкционированного использования сконфигурированного программного обеспечения, а также несанкционированного доступа к конфиденциальной информации.
Система целевой установки сконфигурированного программного обеспечения, в одном и вариантов реализации, состоит из менеджера задач и менеджера установки, установленных на сервере администрирования и устройстве пользователя. При этом в ходе работы системы и способа целевой установки сконфигурированного программного обеспечения выполняются этапы, на которых: а) загружают из средства хранения атрибутов компьютерной сети атрибуты объектов, соответствующих учетной записи пользователя и соответствующих устройству, управляемому пользователем, на котором планируется произвести установку программного обеспечения; б) конфигурируют установочный пакет программного обеспечения, при этом параметры конфигурации определяют по загруженным атрибутам в соответствии с политикой безопасности, установленной для упомянутого пользователя и для упомянутого устройства; в) загружают сконфигурированный установочный пакет программного обеспечения на устройство, которое может отличаться от упомянутого устройства; г) устанавливают загруженное программное обеспечение на устройство, управляемое пользователем, при этом: проверяют соответствие устройств, на котором производится установка и на котором планировалось произвести установку, и продолжают установку, если соответствие установлено; проводят авторизацию пользователя, управляющего вторым устройством, и продолжают установку, если авторизация прошла успешно.
Применение системы и способа целевой установки позволяет установить программное обеспечение на мобильное устройство пользователя. В тех вариантах реализации, в которых программным обеспечением является агент безопасности, параметры конфигурации установочного пакета включают следующие параметры: параметры настройки компонент защиты агента безопасности; параметры установки агента безопасности на устройстве пользователя; параметры сетевого соединения с сервером администрирования; параметры включения компоненты защиты в состав агента безопасности; параметры добавления сертификата безопасности.
Параметры конфигурации установочного пакета, в частном варианте реализации определяются по атрибутам пользователя и устройства, включающим: роль пользователя в компании, конфигурацию устройства пользователя, параметры сетевого соединения с сервером администрирования, перечень доступных ресурсов сети, рабочее место пользователя. В одном из возможных вариантов осуществления системы и способа целевой установки атрибуты загружаются из службы каталогов.
В зависимости от версии реализации установочный пакет может дополнительно содержать конфигурационный файл, установочный файл, сертификат безопасности.
Когда установочный пакет загружен на устройство пользователя и запущен, осуществляется проверка. До, во время или после установки программного обеспечения на устройстве, управляемом пользователем производится авторизация пользователя и проверка соответствий устройств. Устройства считаются соответствующими, если параметры конфигурации устройства, на котором планировалось произвести установку, соответствуют параметрам конфигурации устройства, на котором производится установка. В другом варианте реализации устройства будут считаться соответствующими, если параметры конфигурации устройства, на котором производится установка, соответствуют параметрам конфигурации установочного пакета. В случае неудовлетворительного результата проверки или авторизации, пользователю может быть предложено прохождение повторной проверки и авторизации или загрузка другой конфигурации установочного пакета.
Краткое описание прилагаемых чертежей
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 показывает функциональную схему развертывания программного обеспечения в корпоративной вычислительной сети.
Фиг.2 показывает функциональную схему системы целевой установки сконфигурированного программного обеспечения.
Фиг.3а показывает блок-схему способа целевой установки сконфигурированных агентов безопасности.
Фиг.3б показывает детализированную блок-схему целевой установки сконфигурированных агентов безопасности.
Фиг.4 показывает структурную схему компьютерной системы общего назначения.
Описание предпочтительных вариантов осуществления
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Одна из технологий компании позволяет решить задачу автоматизации процессов конфигурации, передачи и установки агентов безопасности на устройства, подключенные к КВС. Конфигурация установочных пакетов включает настройки, реализующие права пользователя при работе с устройством в КВС и за ее пределами. В случае установки сконфигурированного для определенного сотрудника или группы сотрудников агента безопасности на устройство, управляемое третьим лицом, может быть нарушена политика безопасности компании, так как третье лицо получит права доступа, превышающие его полномочия. Данное изобретение позволяет решить проблему, связанную с несанкционированной установкой сконфигурированных установочных пакетов программного обеспечения, за счет авторизации пользователя и сравнения конфигурации устройства с параметрами конфигурации программного обеспечения или установочного пакета программного обеспечения. В данной заявке в качестве примера осуществления изобретения описывается способ конфигурации и установки агентов безопасности в процессе развертывания системы безопасности в КВС. Данное изобретение может быть аналогичным образом использовано для целевой установки другого программного обеспечения.
КВС представляет собой многоуровневую систему вычислительных устройств и их связей и может содержать компьютерные сети, построенные на различных технических, программных и информационных принципах. При внедрении средств защиты, например антивируса, необходимо учитывать разнообразие защищаемых конечных компьютерных устройств.
Для надежного обеспечения безопасности КВС необходимо внедрение распределенной системы программно-аппаратных средств защиты, каждое из которых обладает характерным функционалом и устанавливается на конечных устройствах сети. При внедрении средств защиты, например антивируса, необходимо учитывать разнообразие защищаемых конечных компьютерных устройств - множество программных и аппаратных конфигураций.
Перечень устройств сети не ограничивается настольными компьютерами и серверами, установленными системным администратором предприятия, и включает личные устройства пользователей, на которых может быть установлено небезопасное программное обеспечение и которые могут являться каналом утечки данных. Персональные устройства необходимо защищать и контролировать при выполнении служебных операций, например при работе с корпоративными ресурсами (данными, приложениями, сетевыми соединениями). Сложность заключается в том, что данные устройства не имеют средств удаленного администрирования и управления, поэтому настройка средств защиты производится пользователем, что создает ряд сложностей для службы технической поддержки и службы безопасности. Описание варианта решения данной проблемы будет приведено в настоящем документе.
Спецификация КВС, включая параметры сетевых соединений, перечень сервисов сети, конфигурации устройств сети, может быть представлена в службе каталогов в виде древовидной структуры объектов, соответствующих устройствам, и их атрибутов, характеризующих параметры этих устройств. Основная схема службы каталогов определяется протоколом LDAP и может быть использована сторонними программами и службами, в том числе средствами администрирования, для адаптивной настройки средств безопасности с учетом спецификации КВС. Из уровня техники известны другие способы представления данных о ресурсах сети и их связях, реализованные, например, в базе данных, XML-файлах и других источниках. Заявленное изобретение не ограничивается интеграцией сервера администрирования со службой каталогов. В контексте данной публикации термином, обобщающим все средства хранения и представления информации о пользователях и устройствах сети, будет являться «средство хранения атрибутов компьютерной сети».
Ключевым элементом защиты КВС является антивирус. Современные антивирусные решения включают в себя функционал, выходящий за рамки проверки файлов на содержание вредоносного кода. В данном документе антивирус следует рассматривать как синоним средству безопасности для КС. В зависимости от версии антивирусного средства функциональные возможности включают защиту КС, защиту информации, управление и синхронизация с другими средствами безопасности. Архитектура антивируса для КВС может быть сложной и состоять из нескольких модулей, установленных на различных узлах КВС. Модули, устанавливаемые на конечные устройства сети, в том числе на персональные устройства пользователей КВС, могут быть различными, и в контексте данного документа будут называться агентами безопасности.
Пользователем КВС является сотрудник предприятия или гость компании, зарегистрированный в сети. В соответствии с установленным порядком при приеме на работу для каждого сотрудника заводится учетная запись, используемая для хранения персональной информации, такой как информация об имени пользователя, дате рождения, должности, паролях доступа к корпоративным ресурсам. Для гостей компании, как правило, создается отдельный профиль, ограничивающий права доступа к ресурсам сети. Для работы в компьютерной сети и получения доступа к ресурсам сети и приложениям пользователь должен пройти аутентификацию. Наиболее популярным сервисом обеспечения контроля доступа и учета пользователей и ресурсов сети является служба каталогов. Существуют стандарты структурирования объектов сети, на основе которых построены наиболее популярные реализации службы каталогов. Таким образом, большинство компьютерных сетей в компаниях включают стандартный сервис, содержащий необходимую информацию о пользователях.
В зависимости от схемы сети, пользователи службы каталогов могут быть разбиты на группы. Группа используется для объединения пользователей по определенному признаку и для наследования свойств группы всем входящим в эту группу пользователям. Например, группа может объединять сотрудников по офисам, структурным подразделениям предприятия, предоставляемым уровням доступа к информации и другим признакам. Каждая группа, так же как и учетная запись содержит атрибуты, характеризующие параметры подключений, права доступа к определенным ресурсам и приложениям сети. Подобная структура хранения и безопасного представления данных об объектах сети, реализованная в службе каталогов, позволяет реализовать политику безопасности, принятую в компании.
Одним из важных критериев при категоризации пользователей является их положение в компании и доступ к ценной информации, представляющей коммерческую или государственную тайну. Соответственно, для руководителей предприятия требования к обеспечению информационной безопасности выше, чем для рядовых сотрудников. Категоризация пользователей может производиться динамически путем добавления пользователя в ту или иную группу в зависимости от поведения, связей, личных характеристик и динамики изменения рейтинга безопасности данного пользователя. Более подробное описание средств категоризации пользователей по упомянутым факторам приводится в публикации US 8181253.
На Фиг.1 изображена функциональная схема развертывания агентов безопасности в КВС. В сети, состоящей из устройств (серверов, стационарных компьютеров 101, ноутбуков 102 и портативных устройств 103) и представляющей ряд сервисов (почтовый сервис, веб-сервис, сервис антивирусной защиты и другие) для пользователей 100, для организации управления часто используется сервер службы каталогов 110. Данный сервер содержит базу данных для упорядоченного хранения информации о сети и позволяет автоматизировать большинство задач управления, включающих, например, настройку приложений и сетевых соединений и разделение прав доступа. Работа со службой каталогов 110 осуществляется по стандартному протоколу. В качестве одного из вариантов реализации будет рассмотрена система, взаимодействующая с LDAP-совместимой (англ. Lightweight Directory Access Protocol) службой каталогов 110.
Когда системный администратор или специалист службы безопасности создает задачу развертывания агентов безопасности или другого приложения на устройствах сети, в первую очередь загружается установочный пакет 131 от поставщика 130 программного обеспечения (ПО), который сохраняется в файловом хранилище 140. В случае агента безопасности поставщиком ПО является компания, разрабатывающая средство защиты или дистрибьютор программных продуктов. Установочные пакеты, установочные файлы (в случае если они не включены в установочные пакеты), используемые для установки программ на устройства пользователей, в том числе установщики агентов безопасности, хранятся в файловом хранилище 140. Те файлы, которые должны быть загружены на устройства КВС, публикуются. Публикация заключается в предоставлении интерфейса для загрузки пакета и настройки соответствующих прав доступа для устройств и пользователей. Файловое хранилище может представлять собой файловый сервер, директорию на сервере администрирования, базу данных или любое другое средство хранения данных, предоставляющее доступ к файлам.
Все действия администратор сети производит в консоли администрирования, являющейся терминалом управления сервера администрирования 120. После загрузки установочного пакета определяется группа устройств, на которые необходимо установить программу. Группа устройств указывается в процессе формирования задачи или определяется автоматически. Например, группа устройств может быть автоматически определена всеми впервые подключившимися к сети устройствами или всеми устройствами, на которых не установлен агент безопасности, и дополниться ими при формировании задачи развертывания.
Для каждого устройства или пользователя устройства, входящего в перечень устройств или перечень пользователей групповой задачи, определяются соответствующие классы и атрибуты из службы каталогов 110. По этим данным с применением экспертных правил задаются параметры для агента безопасности или другого устанавливаемого приложения. Для каждого устройства формируется отдельный набор параметров, используемый в конфигурации установочного пакета для данного устройства. Сконфигурированные установочные пакеты 141 сохраняются в файловом хранилище, после чего гиперссылки передаются на устройства сети. Загрузка на конечные устройства может осуществляться по каналам передачи данных, отличающимся средой распространения, сетевыми параметрами (маршрутами), протоколами передачи данных и различными приложениями. Например, один и тот же файл может быть передан по сети Ethernet или Wi-Fi, по протоколу TCP или по протоколу UDP. Выбор канала передачи данных и его параметров также может основываться на данных службы каталогов и зависит от инфраструктуры сети и конфигурации устройства.
Далее в качестве одного из вариантов осуществления изобретения будет более подробно рассмотрен процесс конфигурации и установки агентов безопасности и используемые для этого средства.
На Фиг.2 показана функциональная схема системы целевой установки сконфигурированных агентов безопасности. Компоненты данной системы могут быть установлены на отдельном сервере сети, быть выполнены в виде виртуальной машины или в виде сервиса для сервера администрирования. Описание реализации менеджера задач и средства авторизации как части сервера администрирования 120 и менеджера установки 201 как части устройства пользователя не ограничивает варианты реализации системы на других компьютерных устройствах сети. Описываемая система состоит из менеджера задач 200, связанного или включающего конфигуратор 210, средства авторизации 220, которая также может являться частью менеджера задач, и менеджера установки. При этом система соединена и взаимодействует со службой каталогов 110 и устройствами пользователей.
Сервер администрирования 120 - это инструмент для централизованного управления комплексной системой защиты, который предоставляет администратору доступ к детальной информации об уровне безопасности корпоративной сети и позволяет гибко настраивать все компоненты системы защиты. Сервер администрирования 120 осуществляет управление агентами безопасности, обеспечивающими безопасность конечных устройств КВС.
Основной инструмент удаленного управления параметрами средств защиты конечных устройств - это политики. С помощью политик задаются параметры, касающиеся продукта в целом, параметры интерфейса и параметры компонентов защиты. Политика служит одновременно для настройки параметров и для контроля их применения на компьютерах. Параметры политики передаются на клиентские компьютеры по расписанию или при их изменении.
Планирование работ по администрированию осуществляется через задачи, в число которых входят: задача обновления, задача формирования отчета, задача сканирования, задача установки агента безопасности и другие. Задачи могут быть сформированы для устройства или группы устройств в зависимости от поставленных целей. Сервер администрирования позволяет произвести развертывание системы безопасности на заданную группу устройств. Администратор может быстро произвести конфигурацию и установку агентов безопасности, используя установочные (инсталляционные) пакеты.
Формирование задачи состоит из нескольких этапов:
- Выбор типа задачи (установка, обновление, настройка агента безопасности и т.д.);
- Установка параметров задачи;
- Выбор группы объектов для управляемой задачи;
- Настройка расписания выполнения.
В ходе работы мастера удаленной установки или при создании задачи установки в менеджере задач 200 администратор определяет перечень устройств и/или групп устройств, на которые необходимо установить агенты безопасности, версию устанавливаемой программы, которой соответствует определенный набор установочных файлов. Администратор может указать дополнительно или вместо группы устройств перечень пользователей и/или группы пользователей. В качестве идентификаторов устройств и пользователей могут использоваться любые уникальные для данного устройства атрибуты, установленные в службе каталогов. В качестве указателя версии установочного пакета может использоваться ссылка на установочные файлы (установочный пакет), название или любой другой идентификатор приложения.
В ходе формирования задачи установки имеется возможность выбирать компьютеры из некоторого списка. Этот список формируется сервером администрирования путем сканирования сети. Сканирование осуществляется периодически несколькими разными способами.
Первый способ сканирования сети заключается в том, что сервер администрирования 120 собирает списки компьютеров сети точно так же, как это делает сама операционная система (семейства Windows). Этот способ сканирования называется быстрым сканированием сети. За составление и предоставление списка компьютеров отвечает служба Computer Browser. В ходе полного сканирования сети сервер администрирования 120 проходит по списку, полученному в результате быстрого сканирования, и пытается соединиться с каждым из компьютеров, используя протокол NetBIOS. Целью этого опроса является выяснение IP-адресов и операционных систем компьютеров. Другим способом получения списков устройств является использование службы каталогов, например Active Directory. Еще одним вариантом получения списка устройств является сканирование сетей. Суть заключается в отправке эхо-запроса на все адреса заданных диапазонов. Для получения списков мобильных устройств могут использоваться средства управления мобильными устройствами (Mobile Device Management, MDM), протокол Exchange Active Sync или специальный протокол сервера администрирования 120.
По умолчанию сервер администрирования 120 содержит, по меньшей мере, одну группу компьютеров. При такой организации администратор вынужден использовать одну политику защиты для всех компьютеров. Даже в небольших сетях бывает удобно, а иногда необходимо использовать разные настройки защиты для серверов и пользовательских компьютеров. В крупных сетях, где разные группы пользователей используют разные специализированные программы, возможность создавать политики с разными исключениями для разных пользователей очень удобна. Для того, чтобы применять разные политики, нужно поместить компьютеры в разные группы.
В крупных КВС администраторы создают группы также для организации процесса внедрения. Например, компьютеры без агента безопасности и средств защиты помещают в группу «Развертывание», где создана задача автоматической установки агента безопасности. Компьютеры с установленным агентом перемещают в группу «Проверка совместимости», где созданы задачи удаления несовместимых программ и т.д. Наконец, полностью защищенные компьютеры перемещают в постоянную структуру управления.
Группы пользователей, устройств и других объектов сети на сервере администрирования и в службе каталогов могут синхронизироваться, дополнять друг друга, а могут быть несвязанными. В случае если группа устройств, выбранная в ходе формирования задачи установки, не содержится в службе каталогов в явном виде, то группа устройств может быть рассмотрена в качестве множества отдельных устройств, каждое из которых представлено в службе каталогов. Аналогичное представление может быть построено для пользователей.
Сервер администрирования 120 может обладать информацией о связи пользователей и устройств, при этом по заданному устройству может определить его пользователя и наоборот. Поэтому следует понимать, что политика и задачи для устройств могут быть транслированы на соответствующие учетные записи пользователей. В рамках данного описания будут рассмотрены примеры управления устройствами и группами устройств в КВС, но это не ограничивает возможности предлагаемых системы и способа, так как сопоставление устройств и пользователей дает возможность реализации предложенного решения для управления как одним, так и группой пользователей.
Информацию о распределении групп и компьютеров, а также их параметры сервер администрирования 120 может загружать из службы каталогов 110. Это может происходить и в автоматическом режиме, что позволяет синхронизировать данные в службе каталогов 110 и на сервере 120. Дополнительно сервер администрирования 120 может хранить информацию, например параметры проверок устройств или рейтинги безопасности пользователей в службе каталогов 110, для чего необходимо дополнить схему службы каталогов 110.
Рассмотрим пример установочного пакета 131, применяемого для установки программ в операционных системах семейства Windows. Установочный пакет 131 (англ. installation package) представляет собой файл, имеющий расширение «.msi», в котором содержится вся необходимая для установки информация. За обработку данного типа файла и проведение процесса установки отвечает специальный компонент операционной системы Windows Installer (менеджер установки Windows).
Файл .msi представляет собой составной документ, в котором содержится база, хранящая различную информацию о продукте и процессе установки. При этом все строковые данные хранятся в отдельной части документа, а таблицы базы содержат указатели на соответствующие данные. Кроме базы, структура файла .msi позволяет дополнять файл пользовательскими сценариями, вспомогательными динамическими библиотеками, если таковые требуются для установки. Устанавливаемые файлы могут входить в состав установочного пакета 141, а могут храниться отдельно в запакованном или распакованном виде.
Процесс установки состоит из нескольких этапов:
- сбор информации (определение директории установки, источника установочных файлов, параметров подключения, настройка параметров обновления и т.д.);
- выполнение установки (копирование файлов, внесение изменений в системный реестр);
- откат на любой этап установки, включая отмену установки (в случае ошибки или выхода из программы установки).
Каждый этап установки состоит из последовательности действий (инструкций), записанной в базе данных. Большая часть действий - это стандартные действия, характерные для типичного процесса сбора информации и установки. Пользователь может определить специализированный набор действий. Действия, определенные пользователем, могут быть либо написаны на одном из скриптовых языков, встроенных в операционную систему (JScript или VBScript), либо размещаться в специально созданной библиотеке функций (с использованием языков программирования C или C++ для операционной системы (ОС) семейства Windows). Более подробное описание формата установочных пакетов и примеров реализации содержится в библиотеке документов MSDN, которая доступна по электронному адресу http://msdn.microsoft.com/en-us/library/ccl85688(v=vs.85).aspx. Настоящее изобретение не ограничивается использованием данного формата установочных пакетов 131 и может поддерживать также другие форматы в зависимости от операционной системы устройства, например rpm (англ. Red Hat Package Manager) для семейства ОС Linux и deb - для ОС проекта Debian.
Описанные возможности, включенные в стандарт установочных пакетов, позволяют изменять (дополнять) выпущенные версии программ без внесения изменений в код программ и без перекомпиляции исполняемых файлов. Для формирования специальной версии установщика, необходимо внести изменения в установочный пакет 131. Примером такого изменения может быть дополнение базы данных установочного пакета параметрами программы и инструкциями, позволяющими автоматически применить данные параметры к программе. Данная особенность позволяет автоматизировать процесс установки и оптимизировать процесс управления установкой за счет сокращения выполняемых операций и сокращения количества задач, формируемых администратором.
Служба каталогов 110 - это средство иерархического представления ресурсов предприятия и информации об этих ресурсах. Под ресурсами могут пониматься персонал, сетевые ресурсы, программы и т.д. Примером реализации службы каталогов является Active Directory, которая наиболее часто применяется для администрирования КВС.Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы, службы и учетные записи пользователей и компьютеров. Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности. Объект уникально определяется своим именем и имеет набор атрибутов - характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. В рамках данной заявки ключевой особенностью службы каталогов 110 является хранение информации о пользователях и их устройствах. Доступ к данным службы каталогов осуществляется по запросам, после чего служба каталогов 110 осуществляет поиск и представление информации. В основной схеме Active Directory существует несколько классов, хранящих информацию о пользователях, например: Organizational-Person - класс представляющий информацию о положении пользователя в структуре компании (должность, роль, подразделение, офис, кабинет и т.д.);
User - класс пользователей сети, включающий информацию о сотрудниках, посетителях. Является подклассом для класса Organizational-Person.
Person - класс, хранящий персональную информацию о пользователе.
Для описания классов применяются различные атрибуты, включающие, например адрес (Address), департамент (Department), идентификатор (Employee-ID), адрес электронной почты (E-mail-Addresses), должность (Title) и другие параметры. При этом классы связаны друг с другом логическими связями, что позволяет для данного пользователя определить параметры его подключения или набор используемых для работы программ. Также пользователю ставятся в соответствие его устройства. Для их определения применяется также несколько классов, таких как:
Device - основной класс хранения данных о физических устройствах сети;
Computer - класс аккаунта для компьютера сети.
Для описания классов устройств применяются следующие атрибуты: роль (Machine-Role), управляющий субъект (Managed-By, Owner), сетевой адрес (Network-Address), операционная система (Operating-System), адрес прокси-сервера (Proxy-Addresses) и другие.
Сформированная задача представляет собой структуру данных, состоящую из параметров, которые можно рассматривать в качестве идентификаторов устройств, пользователей, приложений. Используя данные идентификаторы, менеджер задач 200 отправляет в службу каталогов запрос, результатом которого является упорядоченное множество атрибутов, которые характеризуют каждый объект задачи. Полученные атрибуты интерпретирует в значения параметров безопасности. Правила интерпретации основываются на политике безопасности. Рассмотрим некоторые примеры соответствия атрибутов пользователей и параметров агента безопасности.
Всем пользователям отдела кадров требуется удаленный доступ к внутренней HR-системе, поэтому если задача установки распространяется на устройство, управляемое пользователем из группы «HR (Human Resources)», то в установочный пакет 131 будет добавлен сертификат и настройки доступа к внутренней HR-системе. Таким образом, пример правила конфигуратора для данного случая в виде условного оператора будет выглядеть следующим образом:
IF {department=HR} THEN {certificate=add},
где department - атрибут отдела пользователя, a certificate - параметр добавления сертификата.
Политика безопасности для курьеров компании учитывает факт их частых перемещений, что повышает риск заражения устройств при подключении к внешним сетям и риск потери вычислительных устройств, хранящих корпоративные данные. Для данной группы сотрудников, а также для всех устройств, которые часто подключаются в местах, находящихся за пределами офиса, установочный пакет 141 агента безопасности должен включать дополнительный контейнер с безопасным браузером и настройку агента, в которой активируется функция «GPS-tracking» (отслеживание координат) и функция блокирования устройства (пр